

500.41083X00

IN THE UNITED STATES PATENT AND TRADEMARK OFFICE

#2  
J1050 US PTO 10/046167  
01/16/02

Applicant(s): WATANABE, et al.

Serial No.: Not assigned

Filed: January 16, 2002

Title: PSEUDORANDOM NUMBER GENERATING APPARATUS OR  
ENCRYPTION OR DECRYPTION APPARATUS USING THE  
SAME

Group: Not assigned

LETTER CLAIMING RIGHT OF PRIORITY

Honorable Commissioner of  
Patents and Trademarks  
Washington, D.C. 20231

January 16, 2002

Sir:

Under the provisions of 35 USC 119 and 37 CFR 1.55, the  
applicant(s) hereby claim(s) the right of priority based on  
Japanese Application No. (s) 2001-013959; 2001-145783; 2001-274433  
filed January 23, 2001; May 16, 2001; September 11, 2001.

Certified copies of said Japanese Applications are attached.

Respectfully submitted,

ANTONELLI, TERRY, STOUT & KRAUS, LLP

  
Carl I. Brundidge  
Registration No. 29,621

CIB/amr  
Attachment  
(703) 312-6600

日本国特許庁

JAPAN PATENT OFFICE

別紙添付の書類に記載されている事項は下記の出願書類に記載されている事項と同一であることを証明する。

This is to certify that the annexed is a true copy of the following application as filed with this Office

出願年月日

Date of Application: 2001年 1月23日

出願番号

Application Number: 特願2001-013959

出願人

Applicant(s): 株式会社日立製作所

J1050 U.S. PTO  
10/046167  
01/16/02

CERTIFIED COPY OF  
PRIORITY DOCUMENT

2001年11月16日

特許庁長官  
Commissioner,  
Japan Patent Office

及川耕造



出証番号 出証特2001-3099756

【書類名】 特許願  
【整理番号】 K00019431A  
【提出日】 平成13年 1月23日  
【あて先】 特許庁長官殿  
【国際特許分類】 G09C 1/00  
【発明者】  
【住所又は居所】 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究所内  
【氏名】 渡辺 大  
【発明者】  
【住所又は居所】 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究所内  
【氏名】 宝木 和夫  
【発明者】  
【住所又は居所】 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究所内  
【氏名】 古屋 聰一  
【特許出願人】  
【識別番号】 000005108  
【氏名又は名称】 株式会社日立製作所  
【代理人】  
【識別番号】 100075096  
【弁理士】  
【氏名又は名称】 作田 康夫  
【手数料の表示】  
【予納台帳番号】 013088  
【納付金額】 21,000円  
【提出物件の目録】  
【物件名】 明細書 1

特2001-013959

【物件名】 図面 1

【物件名】 要約書 1

【プルーフの要否】 要

【書類名】 明細書

【発明の名称】 疑似乱数生成装置またはそれを用いた暗号復号処理装置

【特許請求の範囲】

【請求項1】

ステート記憶部と、

バッファと、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するステート変換部と、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するバッファ変換部と、

クロックに応じて、前記ステート変換部出力を用いて前記ステート記憶部の内部状態を更新するステート記憶制御部と、

前記クロックに応じて、前記バッファ変換部出力を用いて前記バッファの内部状態を更新するバッファ制御部と、を備える

疑似乱数生成装置であって、

前記ステート記憶部は3ブロック(ただし1ブロックはnビットからなる)の容量を備え、前記バッファは複数ブロックの容量を備え、

前記ステート変換部は、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを入力として用いる非線形変換部と、

前記変換結果のうち1ブロックデータを部分乱数列として出力する出力部と、を備える

ことを特徴とする疑似乱数生成装置。

【請求項2】

請求項1記載の疑似乱数生成装置であって、

前記ステート変換部は、第1の演算部と第2の演算部とを備え、

前記第1の演算部は、前記ステート記憶部に記憶されている3つのブロックのうち、第1と第2の二つのブロックと、バッファに記憶されているブロックを入力として受け付ける入力部と、前記第1のブロックと前記バッファに記憶されている

ブロックを非線形変換し、nビットのデータを出力する第1の非線形変換部と、前記第1の非線形変換部出力と前記第2のブロックとを入力とし論理演算する第3の演算部と、前記第1のブロックと前記第3の演算部による演算結果を出力する出力部と、を備え、

前記第2の演算部は、前記第1の演算部のいずれかの出力と前記ステート記憶部に記憶されている第3のブロックと、前記バッファに記憶されているブロックを入力として受け付ける入力部と、前記第1の演算部のいずれかの出力と前記バッファに記憶されているブロックを非線形変換し、nビットのデータを出力する第2の非線形変換部と、前記第2の非線形変換部出力と前記第3のブロックとを入力とし論理演算する第4の演算部と、前記第1の演算部のいずれかの出力と前記第4の演算部による演算結果を出力する出力部と、を備えることを特徴とする疑似乱数生成装置。

#### 【請求項3】

請求項2記載の疑似乱数生成装置であって、

前記ステート変換部は、さらに、転置部を備え、

前記転置部は、前記第3、第4の演算部の演算結果が、それぞれの前記演算部に入力されたブロックとは異なるブロックとして、前記ステート記憶部に記憶されるように転置する

ことを特徴とする疑似乱数生成装置。

#### 【請求項4】

請求項1記載の疑似乱数生成装置であって、

前記ステート変換部は、以下の処理を行う

$$\begin{aligned} x_L &\leftarrow a_H; \\ x_H &\leftarrow a_M \text{ XOR } F(a_H, b_i) \\ x_M &\leftarrow a_L \text{ XOR } G(x_H, b_j) \end{aligned}$$

(ただし、ステート記憶部の記憶内容の上位ブロックを $a_H$ 、中位ブロックを $a_M$ 、下位ブロックを $a_L$ 、前記バッファ記憶部の第iブロックを $b_i$ 、前記非線形変換部を $F(a, b)$ 、 $G(a, b)$ 、データの代入を $\leftarrow$ 、前記変換結果の上位ブロックを $x_H$ 、中位ブロックを $x_M$ 、下位ブロックを $x_L$ と表し、 $i \neq j$ とする)

ことを特徴とする疑似乱数生成装置。

【請求項5】

請求項1記載の疑似乱数生成装置であって、

前記ステート変換部は、以下の処理を行う

$$\begin{aligned} x_L &\leftarrow a_M; \\ x_M &\leftarrow a_H \text{ XOR } F(a_M, b_i) \\ x_H &\leftarrow a_L \text{ XOR } G(a_M, b_j) \end{aligned}$$

(ただし、前記ステート記憶部の記憶内容の上位ブロックを $a_H$ 、中位ブロックを $a_M$ 、下位ブロックを $a_L$ 、前記バッファ記憶部の第 $i$ ブロックを $b_j$ 、前記非線形変換部を $F(a, b)$ 、 $G(a, b)$ 、データの代入を $\leftarrow$ 、前記変換結果の上位ブロックを $x_H$ 、中位ブロックを $x_M$ 、下位ブロックを $x_L$ と表し、 $i \neq j$ とする)

ことを特徴とする疑似乱数生成装置。

【請求項6】

請求項1記載の疑似乱数生成装置であって、

1ブロックを64ビットで構成し、

前記非線形変換部は、入力されるブロックを8ビット単位に分けて非線形変換を行うSボックスをさらに備え、以下の処理を行う処理部を備える

$$\begin{aligned} p &\leftarrow a \text{ XOR } b, \\ t_i &\leftarrow S[p_i] \quad (1 \leq i \leq 8); \\ u_H &\leftarrow t_1 \parallel t_2 \parallel t_3 \parallel t_4; \\ u_L &\leftarrow t_5 \parallel t_6 \parallel t_7 \parallel t_8; \\ u_X &\leftarrow u_X \text{ XOR } \text{SHR8}(u_X), \quad X = \{L, H\}; \\ u_X &\leftarrow u_X \text{ XOR } \text{SHL16}(u_X), \quad X = \{L, H\}; \\ u_L &\leftarrow u_H \text{ AND } 0xf0f0f0f0; \\ u_H &\leftarrow u_L \text{ AND } 0x0f0f0f0f; \\ \text{out} &\leftarrow u_H \parallel u_L; \end{aligned}$$

(ただし、ステート記憶部からの入力を $a$ 、バッファからの入力を $b$ 、データの代入を $\leftarrow$ 、 $p=p_1 \parallel p_2 \parallel p_3 \parallel p_4 \parallel p_5 \parallel p_6 \parallel p_7 \parallel p_8, (1 \leq i \leq 8)$ とし、Sボックス出力を、上位から $t_1, t_2, t_3, t_4, t_5, t_6, t_7, t_8$ 、または $S[x]$ 、64ビット幅での

$x$ ビット分の右シフト、左シフトをそれぞれSHRx、SHLxと表す)  
ことを特徴とする疑似乱数生成装置。

【請求項7】

請求項1記載の疑似乱数生成装置であって、  
前記バッファの容量を32ブロックとし、前記バッファ変換部は、以下の処理を行ふ処理部を備える  
前記バッファが出力する32ブロックのうち、上位から第25ブロック目と第32ブロック目とを除いたブロックをひとつ下位のブロックとして出力する；  
第32ブロックの上位と下位を入れ替えたものと第25ブロックとの排他的論理和演算を行い、当該演算結果を第24ブロックとして出力する；  
第32ブロックとステート記憶部の出力1ブロックとの排他的論理和演算を行い  
、当該演算結果を第1ブロックとして出力する  
ことを特徴とする疑似乱数生成装置。

【請求項8】

暗号復号処理装置であって、  
暗号化対象となる平文データと同じ長さの疑似乱数列を生成する疑似乱数生成装置と、  
生成された疑似乱数列と平文データとを排他的論理和演算することによって暗号文データを算出し、出力する演算部と、を備え、  
前記疑似乱数生成装置は  
ステート記憶部と、  
バッファと、  
前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するステート変換部と、  
前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するバッファ変換部と、  
クロックに応じて、前記ステート変換部出力を用いて前記ステート記憶部の内部状態を更新するステート記憶制御部と、  
前記クロックに応じて、前記バッファ変換部出力を用いて前記バッファの内部

状態を更新するバッファ制御部と、を備え、

前記ステート記憶部は3ブロック(ただし1ブロックはnビットからなる)の容量を備え、前記バッファは複数ブロックの容量を備え、

前記ステート変換部は、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いる非線形変換部と、

前記変換結果のうち1ブロックデータを部分乱数列として出力する出力部と、を備える

ことを特徴とする暗号復号処理装置。

【請求項9】

暗号復号処理装置であって、  
復号化対象となる暗号文データを生成する際に用いた乱数列を決定するための情報を用いて、暗号文データと同じ長さの疑似乱数列を生成する疑似乱数生成装置と、

生成された疑似乱数列と暗号文データとを排他的論理和演算することによって平文データを算出し、出力する演算部と、を備え、

前記疑似乱数生成装置は

ステート記憶部と、

バッファと、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するステート変換部と、

前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するバッファ変換部と、

クロックに応じて、前記ステート変換部出力を用いて前記ステート記憶部の内部状態を更新するステート記憶制御部と、

前記クロックに応じて、前記バッファ変換部出力を用いて前記バッファの内部状態を更新するバッファ制御部と、を備え、

前記ステート記憶部は3ブロック(ただし1ブロックはnビットからなる)の容量を備え、前記バッファは複数ブロックの容量を備え、

前記ステート変換部は、  
前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いる非線形変換部と、  
前記変換結果のうち1ブロックデータを部分乱数列として出力する出力部と、  
を備える  
ことを特徴とする暗号復号処理装置。

【請求項10】

記憶装置とプロセッサとを備えた計算機に、  
ステート記憶部と、  
バッファと、  
前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するステート変換部と、  
前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するバッファ変換部と、  
所定のプログラムステップにおいて、前記ステート変換部出力を用いて前記ステート記憶部の内部状態を更新するステート記憶制御部と、  
所定のプログラムステップにおいて、前記バッファ変換部出力を用いて前記バッファの内部状態を更新するバッファ制御部と、を実現し、  
疑似乱数を生成させるプログラムであって、  
前記ステート記憶部は、3ブロック(ただし1ブロックはnビットからなる)の容量を備え、前記バッファは複数ブロックの容量を備え、  
前記ステート変換部は、前記バッファの記憶内容と前記ステート記憶部の記憶内容とを用いる非線形変換部と、  
変換結果のうち1ブロックデータを部分乱数列として出力する出力部と、を備える  
ことを特徴とする疑似乱数を生成させるプログラム。

【発明の詳細な説明】

【0001】

【発明の属する技術分野】

本発明は、実用的な乱数列を生成する技術とその応用技術に関する。

【0002】

【従来の技術】

公開鍵暗号技術を利用した署名生成または、秘密通信を行う際の鍵の生成、ストリーム暗号(stream cipher)技術などにおいて、乱数の必要性は高い。しかし、これらの場面において真性乱数を用いようとすることは非現実的であり、実際には疑似乱数生成方法またはそれを用いた装置により生成される疑似乱数(以下、単に乱数ともいう)が用いられる。暗号での使用に関して疑似乱数に要求される条件として、予測不可能性や、乱数を決定するための初期値を生成した乱数から導出できること、という安全性に関する性質がある。さらに疑似乱数生成方法または生成装置が実用に耐えるためにはソフトウェア実装またはハードウェア実装において高速な処理が求められる。さらに、ハードウェア実装する場合の必要ゲート数や、ソフトウェア実装した場合のステップ数や実行時の必要メモリ領域などが小さい、といった実装コストの面からも効率的である必要がある。汎用的な暗号アルゴリズムとして、これらの評価項目全てにおいて欠点のないものが好ましい。

【0003】

【発明が解決しようとする課題】

現在知られているアルゴリズムは、性能または実装面でソフトウェア、ハードウェアいずれか一方に適したものが多い。

たとえば、特にソフトウェア実装に適したアルゴリズムは、ハードウェア実装時のことが考慮されていないために回路規模が大きくなる。

上記のようなソフトウェア処理に適したアルゴリズムは、たとえば、以下に開示されている。

文献1：Daemen, J., Clapp, C., “Fast Hashing and Stream Encryption with PANAMA,” *Fast Software Encryption, 5th International Workshop, Proceedings, LNCS1372, 61-74, Springer-Verlag, 1998.*

文献2：米国特許 5,454,039号

ハードウェア処理に適したアルゴリズムを用いたものの例としては、ハードウ

エア実装規模が小さく高速な処理も実現できる、線形フィードバックシフトレジスタ(linear feedback shift register (LFSR))にもとづいた疑似乱数生成装置があるが、ソフトウェア実装した場合の処理速度が充分ではない。

LFSRにもとづいた疑似乱数生成装置は、たとえば、以下に開示されている。

文献3：B. Schneier, "Applied Cryptography," John Wiley & Sons, Inc., 1996, pp. 369~428

ソフトウェア、ハードウェアいずれにおいても実用的な実装が可能な疑似乱数生成方法として、ブロック暗号(block cipher)技術を利用したOFBモード(OFB mode)、カウンタモード(counter mode)などが知られているが、その乱数生成速度はブロック暗号の処理速度と同じであり、一般に専用の疑似乱数生成装置に比べて処理速度が充分ではない。

ブロック暗号技術を利用した技術については、文献3, pp. 203~206に記載されている。また、その処理速度は、(文献2)と以下に示す文献4に記述される暗号の処理速度から評価することができる。

文献4：B. Schneier, D. Whiting, "Fast Software Encryption: Designing Encryption Algorithms for Optimal Software Speed on the Intel Pentium Processor," Fast Software Encryption, 4th International Workshop, FSE'97, Haifa, Israel, January 1997, Proceedings, Lecture Notes in Computer Science Vol. 1267, Springer-Verlag, pp. 242~259, 1998.

暗号技術の応用分野の広まりとともに、ハードウェア、ソフトウェアいずれにおいても上記各条件を満たす、実用になる自由度と柔軟性を備えた疑似乱数生成技術が望まれている。

また、より高い安全性を備えた疑似乱数生成技術が望まれている。

#### 【0004】

##### 【課題を解決するための手段】

本発明は、安全性が高く、ソフトウェアでも高速処理が可能であり、かつ、ハードウェアでも高速かつ回路規模の小さい実装が可能な、疑似乱数生成方法または装置を提供する。

本発明は、また、上記疑似乱数生成技術を用いた暗号化装置または復号化装置

を提供する。

本発明は、その一態様において、

上記文献1が開示するアルゴリズムを実行する疑似乱数生成装置が備えるバッファ(大きなメモリ領域)とステート(より小さなメモリ領域)のうち、ステートについて、

- (i)データ処理の単位長をn(たとえば32、64、128、256ビット)としたとき、ステートの大きさが3以上(好ましくは3)×nビットであり、
- (ii)クロック制御により、時刻tから時刻t+1へのステートの状態変更を行うためのステート変換部(ステート変換関数)が、(nビット入力、nビット出力)の非線形関数Fを2回、または異なる二つの非線形関数F、Gを一回ずつ使うという構成を提供する。

#### 【0005】

他の態様によれば、本発明による疑似乱数生成装置は、ステート記憶部と、バッファと、バッファの記憶内容とステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するステート変換部と、バッファの記憶内容とステート記憶部の記憶内容とを用いた変換を行い変換結果を出力するバッファ変換部と、クロックに応じて、ステート変換部出力を用いてステート記憶部の内部状態を更新するステート記憶制御部と、クロックに応じて、バッファ変換部出力を用いてバッファの内部状態を更新するバッファ制御部と、を備え、ステート記憶部は3ブロック(ただし1ブロックはnビットからなる)の容量を備え、バッファは複数ブロックの容量を備え、ステート変換部は、バッファの記憶内容とステート記憶部の記憶内容とを用いる非線形変換部と、変換結果のうち1ブロックデータを部分乱数列として出力する出力部と、を備える。

また、上記構成は、記憶装置とプロセッサとを備えた計算機上にプログラムによって実現されるものであってもよく、ステート記憶部とバッファ部は、該プログラムの所定のステップにおいてその内部状態が更新される。

#### 【0006】

また、ステート変換部は、第1の演算部と第2の演算部とを備え、第1の演算部は、ステート記憶部に記憶されている3つのブロックのうち、第1と第2の二つの

ブロックと、バッファに記憶されているブロックを入力として受け付ける入力部と、第1のブロックとバッファに記憶されているブロックを非線形変換し、nビットのデータを出力する第1の非線形変換部と、第1の非線形変換部出力と第2のブロックとを入力とし論理演算する第3の演算部と、第1のブロックと第3の演算部による演算結果を出力する出力部と、を備え、

第2の演算部は、第1の演算部のいずれかの出力とステート記憶部に記憶されている第3のブロックと、バッファに記憶されているブロックを入力として受け付ける入力部と、第1の演算部のいずれかの出力とバッファに記憶されているブロックを非線形変換し、nビットのデータを出力する第2の非線形変換部と、第2の非線形変換部出力と第3のブロックとを入力とし論理演算する第4の演算部と、第1の演算部のいずれかの出力と第4の演算部による演算結果を出力する出力部と、を備える。

さらに、上記ステート変換部は、第3、第4の演算部の演算結果が、それぞれの演算部に入力されたブロックとは異なるブロックとして、ステート記憶部に記憶されるように転置する転置部を備える。

#### 【0007】

上記構成は、ステートの大きさを3ブロック以上×nビットとすることにより、並列処理を可能としている。さらに、ステートの大きさを3ブロック×nビットとすることにより、ハードウェア実装時の回路規模を小さくすることが可能になる。

すなわち、上記構成は、

- (a) 安全性の評価が簡単でありながら、より高い安全性を保証でき、
- (b) ソフトウェア実装やハードウェア実装において高速な、
- (c) 必要メモリ領域やハードウェア実装時のゲート数が少なく、実装コストが安い

疑似乱数装置の実現を可能とする。

#### 【0008】

##### 【発明の実施の形態】

(用語の説明)

疑似乱数生成装置(pseudorandom number generator)：乱数列(random number sequence)を決定するための初期値(initial value)を与えて、疑似乱数列(pseudorandom number sequence)を生成する装置。

疑似乱数(pseudorandom number)：有限、もしくは無限のビット列であり、どのような方法でも真正乱数と区別することができないもの。

真正乱数：無限ビット列であり、任意の連続する部分列が与えられても、次の1ビットを推定することができないような列のこと。

共通鍵暗号(symmetric-key encryption)：暗号化処理と復号化処理に同じ鍵を用いる暗号化技術。

鍵：暗号化処理の際に用いる秘匿パラメータ。

平文(plaintext)：暗号化処理前、または復号化処理後のデータであり、デジタル化されたマルチメディアデータも含まれる。

暗号文：暗号化処理されたデータ。

ブロック暗号：入力データを一定長のデータごとに区切り(区切られた一定長データをブロックという)、鍵と共に攪拌処理を行うことで暗号化処理(encryption)または復号化処理(decryption)を行う暗号技術。

ストリーム暗号：疑似乱数生成装置に乱数列を決定する情報を与えて乱数列を生成し、この乱数列と平文を攪拌することで暗号文を生成する暗号技術。

非線形変換：状態遷移関数のうち、線形変換でないもの。

Sボックス(S箱)：3～10ビット程度の置換表。高い非線形性と攪拌性を伴った変換を表参照で行えるうえ、簡単な構成による実現が可能であることから、暗号の実装に多く用いられる。

### 【0009】

(実施例)

本発明の実施形態を図を用いて説明する。各図の説明に用いている記号「XOR」はビットごとの排他的論理和(exclusive or)を表す。

図2に示すように、本実施例の乱数生成装置(200)は、1ブロックを64ビットとしたとき64ビット×3ブロックの記憶領域であるステート記憶部(以下、ステートという)(201)および、64ビット×32ブロックの記憶領域であるバッファ(202)、

ステート(201)の内部状態を更新するステート変換部(203)、バッファの内容を更新するバッファ変換部(204)、バッファ入力を切り替えるスイッチ(207)とそれを制御する制御部(214)で構成される。

ディジタル回路またはプログラム構成上、32の倍数を処理単位とすることが望ましく、暗号学的な安全性の観点から、ステートとバッファの内部状態数は大きい方がよい。好ましい本実施例においては、処理単位である1ブロックを64ビットとし、ステートの大きさを3ブロック、バッファの大きさを32ブロックとしている。これにより処理を並列化することと回路規模を小さくすることが可能になる。

本実施例をハードウェアにて構成した場合、トリガとなるクロック信号(210)を受信すると、ステート(201)は、ステート変換部(203)の値を新しいステート値として記憶する。バッファも同様にクロック信号(210)を受信すると、バッファ変換部(204)の値を新しい値として記憶する。制御回路(214)はクロック信号(210)を受信すると、内部カウンタにて計数し、その値に応じてスイッチ(207)が入力(212)とステート(201)出力のいずれを選択するかを切り替える。バッファ変換部(204)は、スイッチ(207)の切り替えに応じて決定される入力値(64ビット)と現在のバッファの値から新たなバッファ(202)の内容を決定する。

#### 【0010】

図5は、図2のバッファ変換部(204)の構成をより詳細に例示するものである。

バッファ変換部(204)は、バッファ(202)から入力された32ブロックのうち、上位から数えて25ブロック目と32ブロック目を除いたブロックをひとつ下位のブロックとして出力する。また、第25ブロックと、第32ブロックの上位と下位を入れ替えたものとの排他的論理和演算を行った後一つ下位のブロックとして出力する。また、第32ブロックと、スイッチ(207)の出力との排他的論理和演算を行った後第1ブロックとして出力する。

#### 【0011】

図1のフローチャートにもとづいて図2の動作を説明する。

本実施例では、乱数生成装置(200)は、図1の処理ステップ102からステップ108を行う。また、1クロック毎に64ビットのビット列(部分乱数列)を生成する。

ステップ102から104において、内部状態の初期化、乱数生成のためのセットアップを行う。

ステップ102：ステート(201)、バッファ(202)の内容、および制御回路(214)内部のメモリをリセット入力(211)によりリセットする。例えば、すべてのビット値を0にする。

ステップ103：乱数列を決定する情報として、鍵情報と乱数列番号とを入力(212)する。入力に上位64ビットの鍵情報を与えて、クロック信号(210)を入力する。次に入力に下位64ビットの鍵情報を与えて、クロック信号(210)を入力する。続けて同様に、乱数列番号も上位、下位64ビットに分割し、2クロックで入力する。これらのクロック処理にはバッファ(202)やステート(201)は前述のとおりに動作する。さらに出力回数N(213)を入力する。本実施例では、生成する乱数列を決定するための鍵情報と乱数列番号、さらに出力回数をそれぞれ128ビットの数値とする。

ステップ104：初期状態を生成するために、128クロック処理を行う。制御回路(214)は、このステップ以降ではスイッチ(207)がステート出力を選択するよう、制御する。本実施例においては、例えば、ステート出力の上位64ビット $a_H$ がスイッチ(207)に入力される。

以降のステップにおいて部分乱数列を繰り返し生成する。

ステップ105：N=0ならば終了(ステップ109)するが、そうでないならステップ106に進む。

ステップ106：ステート変換部(203)は変換処理を行い、部分乱数列64ビットを出力する。

ステップ107：バッファとステートに、クロック信号とステート変換部(203)とバッファ変換部(202)による変換処理結果とを与え、内容を更新する。

ステップ108：N=N-1として、ステップ105に戻る。

上記ステップ105からステップ108の繰り返しにより生成される一つ以上の部分乱数列を、例えばビット連結することにより所望の疑似乱数列を得る。

本実施例の構成をソフトウェア処理で実現する場合は、一つの部分乱数列を得る上記ステップ105からステップ108までの一連の操作をラウンドという。

## 【0012】

図3、図4は、本発明が提供する非線形なステート変換部(203)の演算部、転置部などの、実施例を示す図である。図3の構成において、ステート(201)の変換は次のようにして行う。ただし、以下のアルゴリズムで、矢印←はデータの代入を、||は結合(concatenation, 連結)を、それぞれ表す。

ステート(201)の値をロードする。

$a_H \parallel a_M \parallel a_L = \text{ステート値(192ビット)}$

$x_L \leftarrow a_H;$

$x_H \leftarrow a_M \text{ XOR } F(a_H, b_i)$

$x_M \leftarrow a_L \text{ XOR } G(x_H, b_j) \text{ (ただし } i \neq j)$

$x_M$ を部分乱数列として出力し、次のステート値として、 $x_H \parallel x_M \parallel x_L$ を出力する。

この構造によれば、或るクロックt(またはあるラウンド)におけるG関数(402)への入力とクロックt+1(またはその次のラウンド)におけるF関数(401)への入力とが同じになるため、処理の並列化が可能になる。

また、或るクロックtにおける部分ステート値 $a_L$ は、G関数(402)の出力と排他的論理和された後、クロックt+1においてF関数(401)の出力と排他的論理和されため、F関数(401)とG関数(402)とは異なる変換を行う関数であることが望ましい。

## 【0013】

図4はステート変換部(203)の他の構成を例示する図である。図4の構成において、ステート(201)の変換は次のようにして行う。

ステート(201)の値をロードする。

$a_H \parallel a_M \parallel a_L = \text{ステート値(192ビット)}$

$x_L \leftarrow a_M;$

$x_M \leftarrow a_H \text{ XOR } F(a_M, b_i)$

$x_H \leftarrow a_L \text{ XOR } G(a_M, b_j) \text{ (ただし } i \neq j)$

$x_H$ を部分乱数列として出力し、次のステート値として、 $x_H \parallel x_M \parallel x_L$ を出力する。

図4に示す構造によれば、或るクロックt(またはあるラウンド)におけるF関数(401)への入力とG関数(402)への入力とが同じになり、処理の並列化が可能になる。

#### 【0014】

上記図3、図4においてF関数とG関数に与えられるバッファからの入力(215)は、任意に選択可能である。たとえば、図6には示していないが、第5ブロック目と第17ブロック目を選択することが可能である。

上記図3、図4に示す構造以外の転置方法を採用しても良い。

#### 【0015】

上記図3、図4で用いたF関数(またはG関数)の構造を図6に例示する。二つの入力データの排他的論理和演算結果を、8ビット毎に区切り、それぞれSボックス、S1(601)～S8(602)により非線形変換を行う。Sボックス S1(601)～S8(602)の8ビット出力に、さらに図6に示す変換処理を行い、出力outを生成する。

Sボックスとしては、たとえば

文献5：J. Daemen, V. Rijmen, "AES Proposal: Rijndael," The first AES Candidate Conference, available at <http://www.esat.kuleuven.ac.be/~rijmen/rijndael/rijndaeldocV2.zip>.

のRijndaelで使われている以下の変換表を使うことが可能である。

S[256] = {  
 82, 9, 106, 213, 48, 54, 165, 56,  
 191, 64, 163, 158, 129, 243, 215, 251,  
 124, 227, 57, 130, 155, 47, 255, 135,  
 52, 142, 67, 68, 196, 222, 233, 203,  
 84, 123, 148, 50, 166, 194, 35, 61,  
 238, 76, 149, 11, 66, 250, 195, 78,  
 8, 46, 161, 102, 40, 217, 36, 178,  
 118, 91, 162, 73, 109, 139, 209, 37,  
 114, 248, 246, 100, 134, 104, 152, 22,  
 212, 164, 92, 204, 93, 101, 182, 146,

108, 112, 72, 80, 253, 237, 185, 218,  
 94, 21, 70, 87, 167, 141, 157, 132,  
 144, 216, 171, 0, 140, 188, 211, 10,  
 247, 228, 88, 5, 184, 179, 69, 6,  
 208, 44, 30, 143, 202, 63, 15, 2,  
 193, 175, 189, 3, 1, 19, 138, 107,  
 58, 145, 17, 65, 79, 103, 220, 234,  
 151, 242, 207, 206, 240, 180, 230, 115,  
 150, 172, 116, 34, 231, 173, 53, 133,  
 226, 249, 55, 232, 28, 117, 223, 110,  
 71, 241, 26, 113, 29, 41, 197, 137,  
 111, 183, 98, 14, 170, 24, 190, 27,  
 252, 86, 62, 75, 198, 210, 121, 32,  
 154, 219, 192, 254, 120, 205, 90, 244,  
 31, 221, 168, 51, 136, 7, 199, 49,  
 177, 18, 16, 89, 39, 128, 236, 95,  
 96, 81, 127, 169, 25, 181, 74, 13,  
 45, 229, 122, 159, 147, 201, 156, 239,  
 160, 224, 59, 77, 174, 42, 245, 176,  
 200, 235, 187, 60, 131, 83, 153, 97,  
 23, 43, 4, 126, 186, 119, 214, 38,  
 225, 105, 20, 99, 85, 33, 12, 125};

また、ステート記憶部からの入力をa、バッファからの入力をb、  
 $p=p1||p2||p3||p4||p5||p6||p7||p8, (1 \leq i \leq 8)$ とし、Sボックス S1(601)～S8(602)の8ビット出力を上位からそれぞれt1, t2, t3, t4, t5, t6, t7, t8としたとき、図6に示す変換処理は以下のようにも表せる。下記の数式中で記号「S[x]」もSボックス S1(601)～S8(602)の8ビット出力を表し、「SHRx, SHLx」はそれぞれ64ビット幅でのxビット分の右シフト、左シフトを表す。

$p \leftarrow a \text{ XOR } b;$

```

ti ← S[pi] (1≤i≤8);
uH ← t1||t2||t3||t4;
uL ← t5||t6||t7||t8;
uX ← uX XOR SHR8(uX), X={L, H};
uX ← uX XOR SHL16(uX), X={L, H};
uL ← uH AND 0xf0f0f0f0;
uH ← uL AND 0x0f0f0f0f;
out ← uH || uL;

```

なお、図4に示す構造において、F関数(401)とG関数(402)と同じ関数とし、さらに、バッファからの入力(211)を非線形変換の後に排他的論理和する構造にすれば、さらに処理の並列化による効果が高まる。

また、ステートとバッファの容量はそれぞれ3ブロック分、32ブロック分と小さいので、初期設定に必要なクロック数(ラウンド数)を少なくすることが可能である。さらに、ハードウェア化した場合のハードウェア規模を小さくすることができる。

#### 【0016】

本実施例の構成によれば、ステート変換部には、以上構成を例示した非線形変換部だけでなく、その他、暗号学的安全性と実装について十分に評価されたブロック暗号の非線形変換部、段関数を使用することができる。本実施例のように、処理単位を64ビットとすれば、ブロック暗号の非線形変換部、段関数の使用がより容易になる。また、ブロック暗号のOFBモードの3~5倍程度の処理速度を期待できる。

以上の説明における、64ビットという処理単位は一例であって、要求される仕様に応じて変更可能である。

#### 【0017】

また、本実施例を、演算処理装置(プロセッサ)と記憶装置を備える一般的な情報処理装置上にソフトウェアで実現する場合は、ステート、バッファを記憶装置または演算処理装置のレジスタを用いて実現し、その他各構成要素を、演算処理装置が記憶装置に格納されたプログラムを実行することにより実現する。各プロ

グラムは、予め記憶装置に記憶されているか、または、情報処理装置が備える外部記憶媒体読取装置を介して記憶媒体から記憶装置にロードされる。または、通信装置を介して一旦ネットワークから記憶装置にダウンロードされてもよい。

また、いずれかの構成要素としてハードウェア化されたものを併用しても良い。

(応用例)

本実施例の一つの好ましい応用例は、たとえば、膨大なデータ処理を行う必要があるネットワークの基幹部や、高速なリアルタイム処理が必要なマルチメディアデータ処理システムである。以下、本実施例を利用したデータの暗号化および配信システムについて説明する。

【0018】

図7は本実施例に用いる機器の概略図であり、図8は、図7のデータ送信装置(901)とデータ受信装置(907)中の暗号復号処理装置(904)を本実施例の疑似乱数生成装置を用いて構成した例である。

データの配信は、次のステップで行なう。

ステップ1：データ送信者とデータ受信者は、同じ乱数列を共有できるように、事前に鍵情報(1001)を秘密裏に共有し、乱数列番号(1002)も秘密裏である必要はないが共有する。これらの情報を共有するには、例えば、公開鍵暗号技術を用いた鍵配送方法を用いることができる。

ステップ2：データ送信者は、上記共有情報を与えた暗号復号処理装置(904)を用いて平文データ(903)を暗号化する。図8を使って暗号復号処理装置(904)の動作を説明する。

暗号復号処理装置(904)は、入力(1003)(この場合は平文データ(903))と同じ長さの疑似乱数列(1005)を生成する。疑似乱数列の生成は、本実施例による疑似乱数生成装置(200)に、上記鍵情報(1001)と乱数列番号(1002)と出力回数を与えことにより行う。生成された疑似乱数列(1005)とデータ(903)とを排他的論理和することによって出力(1004)として暗号文データ(1006)を算出し、出力する。

ステップ3：データ送信者は、暗号文データ(1006)をネットワークインターフェース装置(905)を用いて、ネットワーク(906)を通じてデータ受信者に送信する。

ステップ4：データ受信者は、ネットワークインターフェース装置(908)を介して受信した暗号文データ(1006)を、上記共有情報を与えた暗号処理装置(904)を用いて復号する。図8を使って暗号復号処理装置(904)の動作を説明する。

暗号復号処理装置(904)は、入力(1003)(この場合は暗号文データ(1006))と同じ長さの疑似乱数列(1005)を、暗号化時と同様に生成する。生成された疑似乱数列(1005)と暗号文データ(1006)とを排他的論理和することによって出力(1004)として復号文すなわち平文データ(1011)を算出し、出力する。

ステップ5：データ受信者は、復号化された平文データを再生装置(912)で再生する。

#### 【0019】

##### 【発明の効果】

本発明によれば、ソフトウェア、ハードウェアいずれにおいても実装コストがかからず実用的な、さらに高速に動作可能な疑似乱数生成技術を提供できる。

#### 【0020】

##### 【符号の説明】

200…疑似乱数生成装置、201…ステート、202…バッファ、203…ステート変換部、204…バッファ変換部、206…出力する乱数列、207…スイッチ、210…クロック入力、211…リセット入力、212…入力、213…平文の長さ情報Nの入力、214…制御回路、401…非線形変換F、601～604…8ビットの置換表、901…データ送信装置、902…記憶装置、903…データ、904…暗号復号処理装置、905…ネットワークインターフェース装置、906…ネットワーク、907…データ受信装置、908…ネットワークインターフェース装置、910…記憶装置、912…データ再生装置、1001…鍵情報、1002…乱数列番号、1003…入力データ、1004…出力データ。

##### 【図面の簡単な説明】

##### 【図1】

本発明による疑似乱数生成装置の処理手順を表すフローチャートである。

##### 【図2】

本発明による疑似乱数生成装置の概略構成図である。

【図3】

本発明による疑似乱数生成装置のステート変換部の構成を表す概略図である。

【図4】

本発明による疑似乱数生成装置の、ステート変換部の他の構成を表す概略図である。

【図5】

本発明による疑似乱数生成装置のバッファ変換部の構成を表す概略図である。

【図6】

図3、または図4のステート変換部で用いる非線形変換部Fの構成を表す概略図である。

【図7】

本発明による疑似乱数生成装置を応用したデータ配信システムの概略図である

【図8】

本発明を応用したデータ送信装置の暗号復号処理装置の概略図である。

【書類名】 図面

【図1】

図1



【図2】

図2

擬似乱数生成装置 200



【図3】

図3



【図4】

図4



【図5】

図5



【図6】

図6



【図7】



【図8】



【書類名】 要約書

【要約】

【課題】

ソフトウェアによる高速実行可能であり、かつ、ハードウェアでの現実的な実装が可能な疑似乱数を生成する装置を提供する。

【解決手段】

疑似乱数生成装置が備えるバッファとステートのうち、ステートについて、(i)データ処理の単位長をnとしたとき、ステートの大きさが $3 \times n$ ビットであり、バッファ容量が $32 \times n$ ビットであり、(ii)クロック制御により、時刻tから時刻t+1へのステートの状態変更を行うためのステート変換部(ステート変換関数)が、(nビット入力、nビット出力)の非線形関数Fを2回、または異なる二つの非線形関数F, Gを一回ずつ使う、という構成を提供する。ステート変換部は、暗号学的安全性と実装について十分に評価されたブロック暗号の段関数などの非線形関数の採用が可能な構成を備える。

【選択図】 図3

出願人履歴情報

識別番号 [000005108]

1. 変更年月日 1990年 8月31日

[変更理由] 新規登録

住 所 東京都千代田区神田駿河台4丁目6番地

氏 名 株式会社日立製作所